PRIVACY PILLS : 4 – I DIRITTI DELL’INTERESSATO

Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.

Tematiche già affrontate:

PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al “Consenso”
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all’  “Informativa”.

PILL 3 : ( Articolo Online del 05 Aprile ) la tematica relativa a “il Responsabile”

 

La pillola di oggi riguarda: I DIRITTI DELL’INTERESSATO

Il GDPR innova parzialmente i diritti dell’Interessato rispettivamente al trattamento dei propri dati personali.

Cosa cambia:

• Il termine per la risposta all’interessato è, per tutti i diritti, 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.
• Spetta al titolare valutare la complessità del riscontro all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive) (art.12, paragrafo 5), a differenza di quanto prevedono gli art. 9, comma 5, e 10, commi 7 e 8, del Codice, ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (art. 15, paragrafo 3); in quest’ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti.
• Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso (art. 12, paragrafo 1; si veda anche art. 15, paragrafo 3).
• La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.

Diritto di Accesso

• Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento.
• Fra le informazioni che il titolare deve fornire non rientrano le “modalità” del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.

Diritto all’Oblio

• Il diritto cosiddetto “all’oblio” si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Si prevede, infatti, l’obbligo per i titolari (se hanno “reso pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione” (si veda art. 17, paragrafo 2).
• Ha un campo di applicazione più esteso di quello di cui all’art. 7, comma 3, lettera b), del Codice, poiché l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento (si veda art. 17, paragrafo 1).

Limitazione del Trattamento

• Si tratta di un diritto diverso e più esteso rispetto al “blocco” del trattamento di cui all’art. 7, comma 3, lettera a), del Codice: in particolare, è esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), bensì anche se l’interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento ai sensi dell’art. 21 del regolamento (in attesa della valutazione da parte del titolare).
• Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato a meno che ricorrano determinate circostanze (consenso dell’interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante).

Diritto alla Portabilità dei Dati

• Si tratta di uno dei nuovi diritti previsti dal regolamento, anche se non è del tutto sconosciuto ai consumatori (si pensi alla portabilità del numero telefonico).
• Non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei) e sono previste specifiche condizioni per il suo esercizio; in particolare, sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato (quindi non si applica ai dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del titolare, per esempio), e solo i dati che siano stati “forniti” dall’interessato al titolare (si veda il considerando 68 per maggiori dettagli).
• Inoltre, il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall’interessato, se tecnicamente possibile

Cosa Fare?

Il consiglio che proporremo in tutte le pills sarà quello di rivolgersi ad uno Studio Legale con esperti in materia di Privacy, inoltre, per scongiurare situazioni di panico, proporremo alcune semplici idee per poter approcciare alle novità del GDPR.

I diritti degli interessati al trattamento e il loro eventuale esercizio pongono un compito gravoso sulle spalle del Titolare del trattamento il quale, per potersi concentrare esclusivamente sul suo business, dovrà necessariamente incaricare una o più persone per ottemperare a tutti gli obblighi che gli sono imposti. La scelta sarà obbligatoria ed alternativa.

–          Incaricare un soggetto interno alla propria società, attribuendogli attraverso una lettera d’incarico specifica anche tutte le mansioni per l’espletamento dei diritti summenzionati diritti. Questa soluzione incontra notevoli controindicazioni poiché l’incaricato interno si troverà da solo a relazionarsi con una materia totalmente nuova per lui e dovrà sottrarre tempo ed energie alle sue mansioni ordinarie.

–          Assumere come dipendente uno o più nuovi soggetti (a seconda delle dimensioni dell’impresa), esperti della materia, che trattino esclusivamente il tema della privacy. Anche questa soluzione incontra un ostacolo determinante ovvero il costo del lavoro; assumere uno o più dipendenti per una mansione potrebbe generare dei costi tali da costringere l’imprenditore ad assumersi il rischio di una multa molto salata.

–          La terza soluzione è quella che emerge da una giusta compensazione di tutti gli interessi in gioco e prevede la conclusione di un contratto che potrebbe conoscere tante sfumature quante sono le necessità dell’imprenditore in tema di privacy. Per gli imprenditori meno soggetti agli obblighi del GDPR sarebbe ipotizzabile un contratto base di consulenza per l’espletamento dei diritti degli interessati al trattamento, incaricando così una società di gestire tutte le richieste di esercizio dei singoli diritti. Per tutti gli imprenditori avveduti, ovvero quelli che hanno capito quanto la raccolta e l’elaborazione di dati personali sia una miniera d’oro e non l’ennesima spesa da affrontare, è lo stesso GDPR a imporre l’adozione del Data Protection Officer (DPO, per l’Italia Responsabile della Protezione dei Dati o RPD), il quale, fra le sue mansioni, svolgerà anche quella di rendere effettivo e accessibile l’esercizio dei diritti degli interessati.

A cura di:

Avv. Fabio Maggesi

Dott. Giovanni Gaeta